SBOM

 

Als computertoestanden al een week steeds weer opduiken in het algemene nieuws, zoals het Journaal, dan weet je dat het ernstig is. Een maand geleden fluisterde Alibaba, het Chinese internethandelsbedrijf, iets in het oor bij softwarebedrijf Apache: ze waren een foutje tegengekomen in het programma log4j.

Dat ‘fluisteren’ noemden we vroeger responsible disclosure, tegenwoordig wordt de chiquere term coordinated vulnerability disclosure gehanteerd. De inhoud van de boodschap blijft gelijk: iemand ontdekt een kwetsbaarheid in een systeem en meldt dat aan de maker of eigenaar ervan. Dat heette dus vroeger ‘verantwoord’ en nu ‘gecoördineerd’, maar je zou het ook gewoon ‘netjes’ kunnen noemen. De alternatieven zijn namelijk minder fraai: de ontdekker zou zijn vondst aan de grote klok kunnen hangen, waarna hackers met minder goede bedoelingen er misbruik van zouden kunnen maken. Of hij houdt het stil en zoekt zelf een manier om er zijn voordeel mee te doen. Dat is een favoriete hobby van inlichtingendiensten, maar je kunt ook criminele toepassingen bedenken. Zolang de eigenaar van een brakke website of de producent van kwetsbare software geen weet heeft van de kwetsbaarheid, komt er ook geen verbeterde versie. We spreken dan van een zero-day vulnerability.

In het geval van de kwetsbaarheid in log4j is dus zo’n nette melding gedaan, maar dat betekent niet dat er dan meteen een oplossing is. Anderen hebben de kwetsbaarheid waarschijnlijk ook ontdekt en hebben haar gebruikt om in systemen binnen te dringen. Een spannend moment is altijd als een fabrikant roept: “Hé, er is een nieuwe versie van mijn programma, want de oude bevat een foutje.” Dat is het startschot voor een race tussen hackers en de gebruikers van dat programma. De hackers weten dat de oude versie kwetsbaar is, en ze weten ook dat gebruikers niet altijd snel kunnen of willen updaten, en soms niet eens weten dat ze dat zouden moeten doen. Die tijd kunnen ze gebruiken voor hun snode plannen. En even tussen haakjes: “gebruikers”, dat zijn in dit geval niet jij en ik – de gewone computergebruikers – maar organisaties die log4j gebruiken in hun eigen software en online systemen.

Het is allang niet meer zo dat een programmeur zijn eigen programma’s van A tot Z zelf schrijft, zoals wij dat in de jaren negentig nog deden met onze COBOL-programma’s. Nee, tegenwoordig worden er allerlei modules van anderen gebruikt. Want waarom zou je steeds weer zelf het wiel moeten uitvinden? Sommige van die modules kun je kopen, andere kun je gratis vinden in de wereldwijde community van de open source software. Het idee daarachter is dat we alles met elkaar delen én elkaars werk kunnen controleren. Log4j wordt onder een open source-licentie beschikbaar gesteld, wat inhoudt dat iedereen het vrijelijk mag gebruiken, aanpassen en verspreiden.

Een groot probleem bij deze kwetsbaarheid (die overigens de naam log4shell heeft) is dat vaak niet bekend is wáár het zeer populaire log4j overal wordt gebruikt. Het is niet zo’n programma als Word of Outlook dat iedereen kent; het is een softwarecomponent voor logging, het vastleggen van systeemactiviteiten. Vergelijk het voor het gemak maar met de aloude scheepslogboeken, waarin wordt bijgehouden wie wat wanneer heeft gedaan. Logging is belangrijk om bij geconstateerde fouten uit te kunnen pluizen waar het mis ging. Log4j is verweven met allerlei systemen. Sommige (veel?) organisaties weten niet eens dat deze software ergens in de ingewanden van hun systemen draait. En organisaties, die dat wél weten, hebben vaak geen overzicht van wáár het dan overal in zit. Het is een heidense klus om dat alsnog in kaart te brengen. Voeg daaraan toe de druk van de race tegen hackers en je hebt een mooi recept voor stress. Veel systeembeheerders en softwarebouwers hebben deze week lange dagen gemaakt om naar log4j te speuren en over te stappen op de nieuwe versie (want die is er sinds 9 december).

In oktober gaven Allan Friedman en Bart van Riel op de One Conference in Den Haag een presentatie over de Software Bill of Materials. De SBOM is een digitale lijst van componenten waaruit een computerprogramma bestaat. Zoals op een pak hagelslag of een fles shampoo precies staat wat erin zit, zo bevat de SBOM alle ingrediënten van de desbetreffende software. Als dan op een kwade dag één van die componenten een kwetsbaarheid blijkt te bevatten, dan is het een peulenschil om na te gaan waar die component overal in zit. Althans, in theorie – het veronderstelt namelijk wel dat de SBOM compleet en actueel is, en dat is een hele opgave. Het mechanisme werkt ook alleen als iedereen meedoet. Zoals Friedman zo mooi zei: “We’re all-in the supply chain. Most of us somewhere in the middle.” En dat betekent dat je er niet bent met het SBOM’en van je zelfgemaakte systemen – je bent ook afhankelijk van je leveranciers om een volledig beeld te hebben. En jouw afnemers zijn weer afhankelijk van jou.

Voor het bestrijden van log4shell zouden SBOM’s zeer welkom geweest zijn. Voor sommige organisaties misschien wel cruciaal. Als je momenteel strijdt tegen log4shell, dan heb je daar nu weinig aan. Maar als het straks weer rustig is, doe je er goed aan om je eens in SBOM te verdiepen. De website van CISA, waar Friedman deze kar trekt, is een goed startpunt daarvoor. En oh ja, zet je in de tussentijd schrap voor ransomware-aanvallen als gevolg van log4shell.

De Security (b)log keert na de kerstvakantie terug.

 

En in de grote boze buitenwereld …

• onderstreept dit bericht de ernst van log4shell.
• is dit een makkelijk leesbare uitleg van log4shell.
• vind je hier een meer technische uiteenzetting over log4shell.
• drongen de Chinezen bij de Nederlandse overheid binnen ten tijde van de Citrix-crisis in 2020.
• wordt Huawei toch weer gelinkt aan Chinese surveillanceprogramma’s.
• ligt een deel van het Openbaar Ministerie plat door een computerstoring.
• zijn heel veel computerchips kwetsbaar voor aanvallen.
• verdwijnt een Nederlandse criminele cyberdienstverlener achter Duitse tralies.
• is Volvo het slachtoffer geworden van digitale spionage.
• mopperen de inlichtingendiensten weer eens op de inlichtingenwet (vanuit hun optiek heel begrijpelijk, maar ja, privacy).
• heeft de AIVD zijn jaarlijkse kerstpuzzels gepubliceerd.
• heeft minister Grapperhaus de Big Brother Award weer gewonnen.
• worden eigenaren van cryptovaluta bestolen via het Klembord.
• gaan er miljoenen extra naar de Autoriteit Persoonsgegevens.

 

Actor

De meeste mensen zullen bij het lezen van het woord actor denken dat het om het Engelse woord voor acteur gaat. In de beveiligingswereld (en ik vermoed ook in de inlichtingenwereld) kennen we het woord echter ook in een Nederlandse versie (en dan zeg je dus gewoon ‘aktor’).

In mijn wereld is een actor iemand die een bepaalde handeling verricht of zou kunnen verrichten, die op enigerlei wijze een nadelige invloed heeft op iets dat wij willen beschermen. Die actor kan onbedoeld of onbewust iets doen, maar hij kan ook heel doelbewust te werk gaan. In dat laatste geval spreken we ook wel van een kwaadwillende.

Jij kunt gemakkelijk een onschuldige actor zijn. Je hoeft maar een mailtje naar een verkeerd adres te sturen of je hebt de poppen misschien wel aan het dansen. Als beheerder zou je per ongeluk iets open kunnen zetten wat dicht hoort te zijn – misschien werd je wel afgeleid door een telefoontje en zag je iets over het hoofd. Of je opent in goed vertrouwen een bijlage van een – naar later blijkt – phishingmailtje. Dergelijke menselijke fouten kunnen ons allemaal overkomen. Je kunt proberen om ze zoveel mogelijk te voorkomen door je ervan bewust te zijn dát dergelijke fouten nu eenmaal op de loer liggen.

Maar die kwaadwillenden, of bad actors (ook het Engels kent de term in deze betekenis), dat is een ander verhaal. In oktober verscheen het rapport Threat landscape 2021 van ENISA, het EU-agentschap voor cybersecurity. Zij onderscheiden daarin vier soorten dreigingsactoren: statelijke actoren, cybercriminelen, huurlingen en hacktivisten.

Statelijke actoren of state-sponsored actors staan helemaal bovenaan de piramide. Zij werken direct of indirect voor de regering van een land en kunnen daardoor beschikken over vaak zeer ruime middelen, die voor allerlei verschillende doeleinden worden ingezet. Eén van die doelen is spionage. Het ENISA-rapport meldt dat er de afgelopen periode veel corona-gerelateerde spionage-operaties zijn waargenomen. Die zijn bijvoorbeeld gericht op het vergaren van informatie over vaccins en andere wetenschappelijke informatie over het virus. Statelijke actoren richten zich ook op disruptie: ontwrichting van bijvoorbeeld de maatschappij in een land of van een productieproces. Een bekend voorbeeld van dat laatste is Stuxnet, een virus dat in 2010 het nucleaire programma van Iran een grote klap toebracht. Vermoed wordt dat de VS en Israël achter deze actie zaten. Nederlandse inlichtingendiensten hadden een belangrijke rol bij het binnenbrengen van Stuxnet in een Iraanse nucleaire installatie. Verder kan disruptie bewerkstelligd worden door het verspreiden van desinformatie. Sommige landen houden er ‘fabrieken’ op na waarvandaan onder valse identiteiten nepnieuws wordt verspreid om de publieke opinie in een land te beïnvloeden. Beruchte statelijke actoren komen uit Rusland, China, Iran en Noord-Korea. Maar ook westerse landen, zoals de VS en ons eigen land, beschikken over offensieve cybercapaciteiten.

Cybercriminelen vormen de groep actoren waar jij, ik, bedrijfsleven en overheid het meest last van hebben. Ze zijn in staat om met weinig middelen grote groepen potentiële slachtoffers te benaderen en door die grote massa genoeg geld binnen te harken om er goed van rond te kunnen komen. De besten van hen rijden rond in dure bolides en leiden een zeer luxe leven. Niet zelden wonen ze in Rusland en zolang ze hun eigen landgenoten met rust laten, hebben ze weinig te vrezen van de autoriteiten. Af en toe wordt er eentje opgepakt als hij zo dom is om in het buitenland vakantie te vieren. Want doordat ze online nogal pronken met hun bezittingen, zijn ze wel op radar bij de internationale opsporingsdiensten. Volgens ENISA is social engineering, het ‘hacken’ of manipuleren van de mens, het belangrijkste wapen van cybercriminelen. Denk maar aan phishing – ook daar komt het thema corona duidelijk in beeld, bijvoorbeeld in valse mailtjes over vaccinaties, overheidssteun of mondkapjes. Criminelen maken ook dankbaar gebruik van het vele thuiswerken en de plotselinge noodzaak om nieuwe technologieën toe te passen, die inderhaast lang niet altijd correct werden geïmplementeerd.

Nog even in het kort de overige twee soorten actoren. De huurlingen (hackers for hire) zijn mensen die vooral op zoek gaan naar kwetsbaarheden in systemen, malware ontwikkelen en als ‘dienstverlener’ optreden. Ze hebben vooral overheden als klant. Hacktivisten streven ernaar om, vanuit een bepaalde overtuiging, op digitale wijze aandacht voor hun doel te vragen dan wel instituties, die handelen in strijd met die doelen, te hinderen. Volgens ENISA leiden zij momenteel een vrij marginaal bestaan. Zelfs de pandemie heeft niet tot een opleving geleid, vooral omdat hacktivisten niet beschikken over de technische capaciteiten om grootschalig te kunnen acteren.

 

En in de grote boze buitenwereld …

• komt corona-phishing ook in Nederland voor.
• treedt het Amerikaanse leger op tegen ransomwarebendes.
• moesten driehonderd Britse SPAR-winkels hun deuren sluiten na een ransomware-aanval.
• zijn hotels ook populaire doelwitten voor ransomwarecriminelen.
• eist het Openbaar Ministerie fikse gevangenisstraffen tegen leden van een cybercrimebende.
• is zelfs je digitale kladblok niet altijd veilig.
• werken slimme elektriciteitsmeters niet in de buurt van deze Britse luchtmachtbasis.
• bevatten ruim honderdvijftig typen printers van HP een ernstige kwetsbaarheid.
• wordt de interne e-mail van IKEA misbruikt voor het verspreiden van malware.
• schakelen universiteiten slimme camera’s uit na privacyprotesten.
• worden 1,6 miljoen WordPress-sites aangevallen.
• is dit de periodieke herinnering aan de noodzaak om ook wifi-apparatuur regelmatig van updates te voorzien.
• is de Amerikaanse vice-president erg beveiligingsminded.
• waarschuwt de Nederlandse Vereniging van Banken voor telefoon-spoofing.
• pleit de Nederlandse regering ervoor dat iPads en iPhones hun apps ook van andere plekken dan de Apple App Store moeten kunnen halen.
• heeft Google een groot botnet verstoord.
• wil de politie cyberinformanten.